Compartir a través de


Referencia del esquema de normalización de eventos del Registro del Modelo de información de seguridad avanzada (ASIM): versión preliminar pública

El esquema de eventos del Registro se usa para describir las actividades de creación, modificación o eliminación de entidades del Registro de Windows.

Los eventos del Registro son específicos de los sistemas Windows, pero se notifican mediante distintos sistemas que supervisan Windows, como sistemas EDR (detección y respuesta de punto de conexión), Sysmon o el propio Windows.

Para más información sobre la normalización en Microsoft Sentinel, consulte Normalización y Modelo avanzado de información de seguridad (ASIM).

Importante

El esquema de normalización de eventos del Registro está actualmente en versión preliminar. Esta característica se ofrece sin contrato de nivel de servicio y no se recomienda para cargas de trabajo de producción.

En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.

Analizadores

Para usar el analizador de unificación que unifica todos los analizadores integrados y asegurarse de que el análisis se ejecuta en todos los orígenes configurados, use imFileEvent como nombre de tabla en la consulta.

Para obtener la lista de analizadores del evento de proceso que proporciona Microsoft Sentinel, consulte la lista de analizadores de ASIM

Implemente los analizadores de unificación y específico del origen desde el repositorio de GitHub de Microsoft Sentinel.

Vea Analizadores de ASIM y Uso de los analizadores de ASIM para obtener más información.

Adición de sus propios analizadores normalizados

Al implementar analizadores personalizados para el modelo de información de eventos del Registro, asigne un nombre a las funciones KQL con la sintaxis siguiente: imRegistry<vendor><Product>.

Agregue las funciones KQL a los analizadores de unificación imRegistry para asegurarse de que cualquier contenido que use el modelo de eventos del Registro también use el analizador nuevo.

Contenido normalizado

Microsoft Sentinel proporciona la consulta de búsqueda Persisting Via IFEO Registry Key. Esta consulta funciona en cualquier dato de actividad del Registro normalizado mediante el Modelo avanzado de información de seguridad.

Para obtener más información, consulte Búsqueda de amenazas con Microsoft Sentinel.

Detalles del esquema

El modelo de información de eventos del Registro se alinea con el esquema de entidad del Registro de OSSEM.

Campos comunes de ASIM

Importante

Los campos comunes a todos los esquemas se describen detalladamente en el artículo Campos comunes de ASIM.

Campos comunes con directrices específicas

La lista siguiente solo enumera los campos que tienen directrices específicas para los eventos de DNS:

Campo Clase Tipo Descripción
EventType Mandatory Enumerated Describe la operación notificada por el registro.

En el caso del historial del Registro, los valores admitidos incluyen:
- RegistryKeyCreated
- RegistryKeyDeleted
- RegistryKeyRenamed
- RegistryValueDeleted
- RegistryValueSet
EventSchemaVersion Mandatory String Versión del esquema. La versión del esquema que se documenta aquí el la versión 0.1.2.
EventSchema Opcional String El nombre del esquema que se documenta aquí es RegistryEvent.
Campos dvc En el caso de los eventos de actividad del registro, los campos de dispositivo hacen referencia al sistema en el que se produjo la actividad del registro.

Importante

El campo EventSchema es actualmente opcional, pero será obligatorio a partir del 1 de septiembre de 2022.

Todos los campos comunes

Los campos que aparecen en la tabla siguiente son comunes a todos los esquemas de ASIM. Cualquier directriz especificada anteriormente invalida las directrices generales para el campo. Por ejemplo, un campo podría ser opcional en general, pero obligatorio para un esquema específico. Para obtener más información sobre cada campo, consulte el siguiente artículo sobre los campos comunes de ASIM.

Clase Fields
Mandatory - EventCount
- EventStartTime
- EventEndTime
- EventType
- EventResult
- EventProduct
- EventVendor
- EventSchema
- EventSchemaVersion
- Dvc
Recomendado - EventResultDetails
- EventSeverity
- EventUid
- DvcIpAddr
- DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcAction
Opcionales - EventMessage
- EventSubType
- EventOriginalUid
- EventOriginalType
- EventOriginalSubType
- EventOriginalResultDetails
- EventOriginalSeverity
- EventProductVersion
- EventReportUrl
- EventOwner
- DvcZone
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcOriginalAction
- DvcInterface
- AdditionalFields
- DvcDescription
- DvcScopeId
- DvcScope

Campos específicos de eventos del Registro

Los campos enumerados en la tabla siguiente son específicos de eventos del Registro, pero son similares a los campos de otros esquemas y siguen convenciones de nomenclatura similares.

Para obtener más información, consulte Estructura del Registro en la documentación de Windows.

Campo Clase Tipo Descripción
RegistryKey Mandatory String Clave del Registro asociada a la operación, normalizada a las convenciones de nomenclatura de claves raíz estándar. Para más información, consulte Claves raíz.

Las claves del Registro son similares a las carpetas de los sistemas de archivos.

Por ejemplo: HKEY_LOCAL_MACHINE\SOFTWARE\MTG
RegistryValue Recomendado String Valor del Registro asociado a la operación. Los valores del Registro son similares a los archivos de los sistemas de archivos.

Por ejemplo: Path
RegistryValueType Recomendado String Tipo de valor del Registro, normalizado al formato estándar. Para obtener más información, vea Tipos de valor.

Por ejemplo: Reg_Expand_Sz
RegistryValueData Recomendado String Datos almacenados en el valor del Registro.

Ejemplo: C:\Windows\system32;C:\Windows;
RegistryPreviousKey Recomendado String Para las operaciones que modifican el Registro, clave del Registro original, normalizada a la nomenclatura de clave raíz estándar. Para más información, consulte Claves raíz.

Nota: Si la operación cambió otros campos, como el valor, pero la clave sigue siendo la misma, RegistryPreviousKey tendrá el mismo valor que RegistryKey.

Ejemplo: HKEY_LOCAL_MACHINE\SOFTWARE\MTG
RegistryPreviousValue Recomendado String Para las operaciones que modifican el Registro, tipo de valor original, normalizado al formato estándar. Para obtener más información, vea Tipos de valor.

Si no se cambió el tipo, este campo tiene el mismo valor que el campo RegistryValueType.

Ejemplo: Path
RegistryPreviousValueType Recomendado String Para las operaciones que modifican el Registro, tipo de valor original.

Si no se ha cambiado el tipo, este campo tendrá el mismo valor que el campo RegistryValueType, normalizado al formato estándar. Para más información, vea Tipos de valor.

Ejemplo: Reg_Expand_Sz
RegistryPreviousValueData Recomendado String Datos originales del Registro, para las operaciones que modifican el Registro.

Ejemplo: C:\Windows\system32;C:\Windows;
User Alias Alias del campo ActorUsername.

Ejemplo: CONTOSO\ dadmin
Process Alias Alias del campo ActingProcessName.

Ejemplo: C:\Windows\System32\rundll32.exe
ActorUsername Mandatory String Nombre de usuario del usuario que inició el evento.

Ejemplo: CONTOSO\WIN-GG82ULGC9GO$
ActorUsernameType Condicional Enumerated Especifica el tipo de nombre de usuario almacenado en el campo ActorUsername. Para obtener más información, consulte Entidad de usuario.

Ejemplo: Windows
ActorUserId Recomendado String Identificador único de Actor. El identificador específico depende del sistema que genere el evento. Para más información, consulte la Entidad Usuario.

Ejemplo: S-1-5-18
ActorScope Opcionales String Ámbito, como el inquilino de Microsoft Entra, en el que se definen ActorUserId y ActorUsername. Para obtener más información y una lista de los valores permitidos, consulte UserScope en el artículo Introducción al esquema.
ActorUserIdType Recomendado String Tipo del identificador almacenado en el campo ActorUserId. Para obtener más información, consulte Entidad de usuario.

Ejemplo: SID
ActorSessionId Condicional String Identificador único de la sesión de inicio de sesión de Actor.

Ejemplo: 999

Nota: El tipo se define como cadena para admitir distintos sistemas, pero en Windows este valor debe ser numérico. Si usa una máquina Windows y el origen envía un tipo diferente, asegúrese de convertir el valor. Por ejemplo, si el origen envía un valor hexadecimal, conviértalo en un valor decimal.
ActingProcessName Opcional String Nombre de archivo del archivo de imagen de proceso de acción. Por lo general, este nombre se considera el nombre del proceso.

Ejemplo: C:\Windows\explorer.exe
ActingProcessId Mandatory String Identificador de proceso (PID) del proceso de acción.

Ejemplo: 48610176

Nota: El tipo se define como cadena para admitir distintos sistemas, pero en Windows y Linux este valor debe ser numérico.

Si usa una máquina Windows o Linux y usa un tipo diferente, asegúrese de convertir los valores. Por ejemplo, si ha utilizado un valor hexadecimal, conviértalo en un valor decimal.
ActingProcessGuid Opcional String Identificador único (GUID) generado del proceso de acción.

Ejemplo: EF3BD0BD-2B74-60C5-AF5C-010000001E00
ParentProcessName Opcional String Nombre de archivo del archivo de imagen del proceso primario. Por lo general, este valor se considera el nombre del proceso.

Ejemplo: C:\Windows\explorer.exe
ParentProcessId Mandatory String Identificador de proceso (PID) del proceso primario.

Ejemplo: 48610176
ParentProcessGuid Opcional String Identificador único (GUID) generado del proceso primario.

Ejemplo: EF3BD0BD-2B74-60C5-AF5C-010000001E00

Claves raíz

Distintos orígenes representan prefijos de clave del Registro mediante representaciones diferentes. Para los campos RegistryKey y RegistryPreviousKey, use los siguientes prefijos normalizados:

Prefijo de clave normalizado Otras representaciones comunes
HKEY_LOCAL_MACHINE HKLM, \REGISTRY\MACHINE
HKEY_USERS HKU, \REGISTRY\USER

Tipos de valor

Los distintos orígenes representan tipos de valor del Registro mediante representaciones diferentes. Para los campos RegistryValueType y RegistryPreviousValueType, use los siguientes tipos normalizados:

Prefijo de clave normalizado Otras representaciones comunes
Reg_None None, %%1872
Reg_Sz String, %%1873
Reg_Expand_Sz ExpandString, %%1874
Reg_Binary Binary, %%1875
Reg_DWord Dword, %%1876
Reg_Multi_Sz MultiString, %%1879
Reg_QWord Qword, %%1883

Actualizaciones del esquema

Estos son los cambios en la versión 0.1.1 del esquema:

  • Se ha agregado el campo EventSchema.

Estos son los cambios en la versión 0.1.2 del esquema:

  • Se han agregado los campos ActorScope, DvcScopeId y DvcScope.

Pasos siguientes

Para más información, consulte: